设置单点登录

您可以根据贵组织的需要，在将 Google 作为服务提供商的情况下，通过多种方式设置单点登录。Google Workspace 支持基于 SAML 的单点登录和基于 OIDC 的单点登录。

• 单点登录配置文件包含您的 IdP 设置，可让您灵活地为组织中的不同用户应用不同的单点登录设置。创建基于 SAML 的配置文件、自定义 OIDC 配置文件，或使用默认的 Microsoft Entra OIDC 配置文件（无需配置）。
• 创建单点登录配置文件后，将配置文件分配给组织部门或群组，以便为这些用户设置 IdP。此外，您还可以关闭特定组织部门或群组的单点登录。

如果您的用户使用网域专用服务网址访问 Google 服务（例如 https://mail.google.com/a/example.com），您还可以管理这些服务网址与单点登录搭配使用的方式。

如果贵组织需要基于 IP 地址的条件式单点登录重定向，或需要为超级用户启用单点登录，那么您还可以选择配置旧版单点登录配置文件。

设置基于 SAML 的单点登录

准备工作

要设置 SAML 单点登录配置文件，您需要 IdP 支持团队或文档提供一些基本配置：

• 登录页网址：也称为 SSO 网址或 SAML 2.0 端点 (HTTP)。这是用户登录您的 IdP 的位置。
• 退出页网址：用户退出 Google 应用或服务后到达的页面。
• 更改密码网址：单点登录用户用于更改密码的页面（而不是通过 Google 更改密码的页面）。
• 证书：来自 IdP 的 X.509 PEM 证书。证书包含用于验证来自 IdP 的登录的公钥。

证书要求

创建 SAML 单点登录配置文件

按照以下步骤创建第三方单点登录配置文件。您最多可以在组织中创建 1000 个配置文件。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标  安全性身份验证第三方身份提供商的单点登录服务。
3. 在第三方单点登录配置文件中，点击添加 SAML 配置文件。
4. 输入配置文件的名称。
5. （可选）如果您有来自 IdP 的 XML 元数据文件，请点击“上传 XML 文件”以提供 IdP 信息，然后继续执行第 8 步
6. 填写登录页网址以及从 IdP 获取的其他信息。
7. 为您的 IdP 输入更改密码网址。用户将前往此网址（而不是 Google 更改密码页面）重置密码。
8. 点击上传证书以上传证书文件。

   您最多可以上传 2 个证书，以便在必要时可选择轮换证书。

9. 点击保存。
10. 在服务提供商 (SP) 详细信息部分，复制并保存实体 ID 和 ACS 网址。在 IdP 管理控制台中，您需要使用这些值来配置 Google 单点登录。
11. （可选）如果 IdP 支持对断言进行加密，那么您可以生成证书并与 IdP 共享，以启用加密功能。每个 SAML 单点登录配置文件最多可以有 2 个服务提供商证书。
    1. 点击服务提供商详情部分以进入修改模式。
    2. 在服务提供商证书下，点击生成证书。（保存之后，证书将会显示。）
    3. 点击保存。系统会显示证书名称、失效日期和内容。
    4. 使用证书上方的按钮复制证书内容或将其下载为文件，然后与您的 IdP 共享证书。
    5. （可选）如果您需要轮替证书，请返回“服务提供商详情”部分并点击生成其他证书，然后与您的 IdP 共享新证书。确定您的 IdP 使用的是新证书后，您可以删除原始证书。

配置您的 IdP

如需将 IdP 配置为使用此单点登录配置文件，请将配置文件的服务提供商 (SP) 详细信息部分中的信息输入 IdP 单点登录设置中的相应字段。ACS 网址和实体 ID 都是此配置文件独有的。

配置旧版单点登录配置文件

从旧版 SAML 迁移到单点登录配置文件

如果贵组织使用的是旧版单点登录配置文件，我们建议您迁移到较新的单点登录配置文件，后者具有多项优势，包括支持 OIDC、提供更现代的 API，以及可更灵活地将单点登录设置应用于用户组。了解详情。

设置基于 OIDC 的单点登录

按照以下步骤操作，以使用基于 OIDC 的单点登录：

1. 选择一个 OIDC 选项 - 创建自定义 OIDC 配置文件（您可以在其中为 OIDC 合作伙伴提供信息），或使用预配置的 Microsoft Entra OIDC 配置文件。
2. 按照决定哪些用户应使用单点登录中的步骤操作，将预配置的 OIDC 配置文件分配给所选组织部门/群组。

如果您的某个组织部门（例如下级组织部门）中有用户不需要单点登录，那么您也可以使用分配功能为这些用户停用单点登录。

注意：Google Cloud 命令行界面目前不支持使用 OIDC 重新进行身份验证。

准备工作

如需设置自定义 OIDC 配置文件，您需要从 IdP 支持团队或文档中获得一些基本配置：

• 颁发者网址：IdP 授权服务器的完整网址。
• OAuth 客户端，由其客户端 ID 标识，并通过客户端密钥进行身份验证。
• 更改密码网址：单点登录用户用于更改密码的页面（而不是通过 Google 更改密码的页面）。

此外，Google 需要您的 IdP 执行以下操作：

• IdP 中的 email 声明必须与 Google 端用户的主电子邮件地址一致。
• 它必须使用授权代码流程。

创建自定义 OIDC 配置文件

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标  安全性身份验证第三方身份提供商的单点登录服务。
3. 在第三方单点登录配置文件中，点击添加 OIDC 配置文件。
4. 为 OIDC 配置文件命名。
5. 输入 OIDC 详细信息：客户端 ID、颁发者网址、客户端密钥。
6. 点击保存。
7. 在新配置文件的 OIDC 单点登录设置页面上，复制重定向 URI。您需要更新 IdP 上的 OAuth 客户端，以便使用此 URI 响应请求。

如需修改设置，请将光标悬停在 OIDC 详细信息上方，然后点击“修改”图标 。

使用 Microsoft Entra OIDC 配置文件

确保在贵组织的 Microsoft Entra ID 租户中为 OIDC 配置了以下前提条件：

• Microsoft Entra ID 租户需要通过域名验证。
• 最终用户必须拥有 Microsoft 365 许可。
• 分配单点登录配置文件的 Google Workspace 管理员的用户名（主电子邮件地址）必须与您的 Azure AD 租户管理员账号的主电子邮件地址一致。

决定哪些用户应使用单点登录

通过分配单点登录配置文件及其关联的 IdP，为组织部门或群组启用单点登录。您也可以为单点登录配置文件分配“无”，以停用单点登录。此外，您还可以在组织部门或群组内应用混合单点登录政策，例如为整个组织部门启用单点登录，然后为下级组织部门停用单点登录。

如果您尚未创建配置文件，请先创建配置文件，然后再继续操作。或者，您也可以分配预配置的 OIDC 配置文件。

1. 点击管理单点登录配置文件分配。
2. 如果这是您首次分配单点登录配置文件，请点击“开始使用”。否则，请点击管理分配。
3. 在左侧，选择您要分配单点登录配置文件的组织部门或群组。
   • 如果您为某个组织部门或群组分配的单点登录配置文件与为整个网域分配的配置文件不同，则当您选择该组织部门或群组时，系统会显示一条覆盖警告。
   • 您无法按用户分配单点登录配置文件。使用“用户”视图，您可以查看特定用户的设置。
4. 为所选组织部门或群组选择单点登录配置文件分配：
   • 如要将相应组织部门或群组从单点登录中排除，请选择无。组织部门或群组中的用户将直接通过 Google 登录。
   • 如要为相应组织部门或群组分配其他 IdP，请选择其他单点登录 (SSO) 配置文件，然后从下拉列表中选择单点登录配置文件。
5. （仅限 SAML 单点登录配置文件）选择 SAML 配置文件后，请为直接登录 Google 服务（无需先登录单点登录配置文件的第三方 IdP）的用户选择登录选项。您可以提示用户输入其 Google 用户名，然后将他们重定向至 IdP，也可以要求用户输入其 Google 用户名和密码。 

   注意：如果您选择要求用户输入自己的 Google 用户名和密码，则此 SAML 单点登录配置文件的更改密码网址设置（可在“单点登录配置文件”>“IdP 详细信息”中找到）会被忽略。这样可以确保用户能够根据需要更改其 Google 密码。

6. 点击保存。
7. （可选）根据需要将单点登录配置文件分配给其他组织部门或群组。

关闭管理单点登录配置文件分配卡片后，您会在管理单点登录配置文件分配部分看到为组织部门和群组分配的配置文件已更新。

移除单点登录配置文件分配

1. 点击某个群组或组织部门的名称，以打开其配置文件分配设置。
2. 将现有分配设置更换为上级组织部门设置：
   • 对于组织部门分配，请点击继承。
   • 对于群组分配，请点击取消设置。  

注意：您的顶级组织部门始终出现在配置文件分配列表中，即使“配置文件”设置为“无”也是如此。

另请参阅

• 可选的单点登录设置和维护
• 单点登录问题排查
• 敏感操作的多方审批